一种基于回馈和监督学习的WAF检测方法及系统技术方案

本发明专利技术提供一种基于回馈和监督学习的WAF检测方法，该方法通过增加分类机制，在对访问者的请求进行规则匹配前先提取其特征，并将提取的特征经过分类器进行分类得到分类结果。由于该方法提取的特征具有资源消耗极低的特点，且只对那些不能明确判断为攻击或非攻击的请求进行规则匹配，因此，该方法极大的减少了WAF系统的资源消耗。同时，该方法还通过增加回馈和学习的机制，用最后ΔT时间内所有请求的特征和判定结果作为训练数据重新训练分类器，以使该方法能够自动适应新的攻击请求，相较于人工干预，该方法极大的提高了新的攻击的响应速度和拦截效果。

【技术实现步骤摘要】
一种基于回馈和监督学习的WAF检测方法及系统
本专利技术涉及通信
，尤其涉及一种基于回馈和监督学习的WAF检测方法及系统。
技术介绍
WAF(WebApplicationFirewall)是指Web应用防火墙，也被称为Web应用防护系统或网站应用级入侵防御系统。利用国际上公认的一种说法，Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。HTTP(HyperTextTransferProtocol，超文本传输协议)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个协议标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。1960年，美国人TedNelson构思了一种通过计算机处理文本信息的方法，并称之为超文本(hypertext)，这成为了HTTP超文本传输协议标准架构的发展根基。TedNelson组织协调万维网协会(WorldWideWebConsortium)和互联网工程工作小组(InternetEngineeringTaskForce)共同合作研究，最终发布了一系列的RFC，其中著名的本文档来自技高网...

【技术保护点】
一种基于回馈和监督学习的WAF检测方法，其步骤包括：对欲访问HTTP/HTTPS服务器的请求进行检测，通过分类器对所述请求进行特征提取，并根据提取的特征对所述请求进行分类；若所述请求为攻击请求，则对该攻击请求直接进行拦截操作；若所述请求为非攻击请求，则对该非攻击请求直接进行放行操作；若所述请求为不确定请求，则将该不确定请求输入匹配器进行规则匹配，以得到匹配结果，并根据该匹配结果对该不确定请求进行拦截或放行操作；将所述特征、匹配结果以及攻击请求和非攻击请求的判定结果作为训练数据，使所述分类器进行周期性的监督学习并得到更新。

【技术特征摘要】
1.一种基于回馈和监督学习的WAF检测方法，其步骤包括：对欲访问HTTP/HTTPS服务器的请求进行检测，通过分类器对所述请求进行特征提取，并根据提取的特征对所述请求进行分类；若所述请求为攻击请求，则对该攻击请求直接进行拦截操作；若所述请求为非攻击请求，则对该非攻击请求直接进行放行操作；若所述请求为不确定请求，则将该不确定请求输入匹配器进行规则匹配，以得到匹配结果，并根据该匹配结果对该不确定请求进行拦截或放行操作；将所述特征、匹配结果以及攻击请求和非攻击请求的判定结果作为训练数据，使所述分类器进行周期性的监督学习并得到更新。2.如权利要求1所述的方法，其特征在于，所述特征是指由所述请求的一种或多种属性组合成的向量。3.如权利要求2所述的方法，其特征在于，所述属性包括客户端IP、UA、URL、Host、refer、头部字段数、头部总长度、头部md5值、协议版本、请求体长度、请求体md5值、请求体参数个数、请求方法。4.如权利要求1...

【专利技术属性】
技术研发人员：赵晨晖，王小虎，王春鹏，罗意，石函，熊杰，
申请(专利权)人：北京知道未来信息技术有限公司，
类型：发明
国别省市：北京,11